Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

by

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Isi gambar ISO
Sumber: BleepingComputer

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer

Hive ransomware memeras $100 juta dari lebih dari 1.300 korban

by

Biro Investigasi Federal (FBI) mengatakan bahwa geng ransomware Hive yang terkenal telah berhasil memeras sekitar $100 juta dari lebih dari seribu perusahaan sejak Juni 2021.

FBI juga mengatakan bahwa geng Hive akan menyebarkan muatan ransomware tambahan pada jaringan korban yang menolak membayar uang tebusan.

“Hive November 2022, aktor ransomware Hive telah menjadi korban lebih dari 1.300 perusahaan di seluruh dunia, menerima sekitar US$100 juta sebagai pembayaran uang tebusan, menurut informasi FBI,” ungkap FBI.

Daftar korban termasuk organisasi dari berbagai industri dan sektor infrastruktur penting seperti fasilitas pemerintah, komunikasi, dan teknologi informasi, dengan fokus pada entitas Kesehatan dan Kesehatan Masyarakat (HPH).

Ini terungkap dalam penasehat bersama yang diterbitkan hari ini dengan Cybersecurity and Infrastructure Security Agency (CISA) dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Penasihat hari ini dikeluarkan untuk membagikan indikator kompromi Hive (IOC) dan taktik, teknik, dan prosedur (TTP) yang ditemukan oleh FBI saat menyelidiki serangan ransomware Hive.

Meskipun pengiriman ke platform ID Ransomware tidak menyertakan semua serangan ransomware Hive, para korban telah mengirimkan lebih dari 850 sampel sejak awal tahun, banyak di antaranya didorong menyusul lonjakan besar aktivitas antara akhir Maret dan pertengahan April.

Sementara tiga agen federal di belakang penasehat tidak mendorong pembayaran uang tebusan karena kemungkinan besar akan mendorong pelaku ancaman lain untuk bergabung dengan serangan ransomware, para korban didesak untuk melaporkan serangan Hive ke kantor lapangan FBI lokal mereka atau ke CISA di report@cisa. gov terlepas dari apakah mereka membayar uang tebusan atau tidak.

Ini akan membantu penegak hukum mengumpulkan informasi penting yang diperlukan untuk melacak aktivitas operasi ransomware, mencegah serangan tambahan, atau meminta pertanggungjawaban penyerang atas tindakan mereka.

FBI juga merilis indikator tambahan kompromi dan detail teknis yang terkait dengan serangan ransomware Hive pada Agustus 2021.

Hive adalah operasi Ransomware-as-a-Service (RaaS) yang aktif setidaknya sejak Juni 2021, dengan beberapa anggotanya diketahui telah bekerja untuk Hive dan geng kejahatan dunia maya Conti secara bersamaan setidaknya selama enam bulan, mulai November 2021.

Sumber: Bleeping Computer

Alat Android Anti-Pelacakan DuckDuckGo Bisa “bahkan lebih kuat” daripada iOS

by Leave a Comment

DuckDuckGo memposisikan Perlindungan Pelacakan Aplikasi sebagai sesuatu seperti Transparansi Pelacakan Aplikasi Apple untuk perangkat iOS, tetapi “bahkan lebih kuat”. Mengaktifkan layanan di aplikasi DuckDuckGo untuk Android (di bawah bagian “Lainnya dari DuckDuckGo”) menginstal layanan VPN lokal di ponsel Anda, yang kemudian dapat mulai memblokir pelacak secara otomatis di DDG’s

Google baru-baru ini memberi pengguna Android beberapa alat asli untuk mencegah pelacakan nakal, termasuk persetujuan pelacakan lokasi aplikasi demi aplikasi dan penyisihan pelacakan iklan asli terbatas.

Technica that App Tracking Protection, Saat mengenali pelacak dari daftar blokirnya, “melihat ke domain tujuan untuk setiap permintaan keluar dan memblokirnya jika mereka ada di daftar blokir kami dan aplikasi yang meminta tidak dimiliki oleh perusahaan yang sama yang memiliki domain.”

Perlindungan Pelacakan Aplikasi diluncurkan setahun yang lalu dalam versi beta terbatas. Sejak itu, DuckDuckGo telah memperbarui aplikasi untuk menunjukkan kepada Anda lebih banyak informasi tentang jenis pelacak data apa yang coba dikumpulkan— “seperti lokasi tepat Anda, usia, dan sidik jari digital ponsel Anda.” Melalui pengujiannya, DuckDuckGo telah melihat bahwa ponsel Android dengan 35 aplikasi dapat melihat 1.000–2.000 upaya pelacakan setiap hari, mengirimkan data ke lebih dari 70 perusahaan.

sumber : ars technica

Skandal Spyware Eropa Adalah Panggilan Darurat Global

by Leave a Comment

Beberapa pemerintah Eropa menggunakan alat pengawasan canggih untuk memata-matai rakyatnya sendiri

Investigasi spyware yang dipimpin oleh 16 media di seluruh dunia. Wartawan menemukan bahwa pemerintah telah menargetkan lebih dari 50.000 nomor telepon di seluruh dunia menggunakan alat pengawasan

Spyware memungkinkan untuk secara diam-diam melacak dan menarik informasi dari suatu perangkat. Setelah perangkat lunak mengakses ponsel atau komputer target, siapa pun yang menginstalnya dapat menarik teks dan email, mengunduh setiap foto di perangkat, dan bahkan melacak lokasi GPS perangkat.

Memungkinkan pengguna untuk diam-diam menyedot kata sandi, daftar kontak, acara kalender, pesan teks, panggilan suara langsung, dan data lainnya dari ponsel target. Bahkan memungkinkan operator perangkat lunak menyalakan kamera dan mikrofon ponsel untuk melihat orang tersebut dan lingkungannya.

Meskipun mereka mengakui itu digunakan semata-mata untuk alasan keamanan nasional, pihak berwenang Hungaria menargetkan lebih dari 300 orang, dari pengacara dan jurnalis hingga pemilik bisnis terkenal, aktivis, dan politisi oposisi, menurut laporan tersebut.

Pejabat di Siprus memperoleh teknologi pengawasan dari Eropa. secara ilegal melacak lebih dari 9,5 juta perangkat seluler. Pihak berwenang Spanyol tampaknya telah menargetkan orang-orang di Catalonia dengan Pegasus NSO Group

Penyelidik tidak melakukan apa pun: Penulis laporan menulis bahwa penyalahgunaan spyware “tanpa ampun memperlihatkan ketidakdewasaan dan kelemahan UE sebagai entitas demokrasi.”

Ada perbedaan yang jelas dan besar antara spyware dan pelanggaran pengawasan di negara-negara demokratis dan di banyak otokrasi.

Supremasi hukum dan keberadaan media yang relatif independen, di antara banyak faktor lainnya, memberi lebih banyak ruang untuk skandal dan reformasi.

Tapi itulah mengapa laporan UE tentang penyalahgunaan spyware menjadi pengingat penting.

Mengontrol teknologi ini sangat sulit, karena jenis kontrol ekspor yang diberlakukan pemerintah pada barang fisik, seperti senjata dan bahan kimia, tidak dapat diterjemahkan dengan cara yang sama ke perangkat lunak. Namun untuk benar-benar berjuang melindungi privasi di era modern.

sumber : slate

Google Membayar Denda Sebesar $391,5 Juta Untuk Melacak Lokasi Pengguna Android

by

Google membayar denda sebesar $391,5 juta untuk gugatan privasi yang diajukan oleh jaksa agung AS dari 40 negara bagian.

Sesuai kesepakatan, jaksa agung AS telah menemukan bahwa raksasa pencarian menyesatkan pengguna Android dan telah melacak lokasi mereka bahkan ketika mereka menonaktifkan pelacakan GPS, dan ini telah terjadi sejak 2014.

Google membayar penalti dikarenakan melacak lokasi pengguna tanpa persetujuan
Google menggunakan ‘Aktivitas Web & Aplikasi’ untuk melacak lokasi dan riwayat pengguna, yang memungkinkan mereka mengumpulkan, menyimpan, dan memproses data pengguna akhir tanpa persetujuan mereka.

Google harus menjadi lebih transparan dengan pengguna android mengenai pelacakan lokasi dan bagaimana data pengguna akan diproses.

Persyaratan transparansi penyelesaian ini akan memastikan bahwa Google tidak hanya membuat pengguna mengetahui bagaimana data lokasi mereka digunakan, tetapi juga bagaimana mengubah pengaturan akun mereka jika mereka ingin menonaktifkan pengaturan akun terkait lokasi.

Kemudian, Google mengambil solusi dan memperbaiki prosedure pelacak lokasinya dan menghentikan pengguna yang menyesatkan untuk hal yang sama

Selain itu, Google kembali didenda $170 juta oleh Frandce National Commission on Informatics and Liberty (CNIL) atas kebebasan persetujuan pengguna internet dengan mempersulit penonaktifan cookie palacakan situs web dengan opsi yang disembunyikan di balik beberapa navigasi

Google membayar penalti lebih dari 5 miliar penalti untuk eksploitasi data pengguna

  • Google membayar denda $2,72 miliar karena menyalahgunakan posisi pasar dominannya untuk memanipulasi hasil pencarian pada Juni 2017
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar $1,7 miliar untuk praktik antipersaingan dalam periklanan digital pada Maret 2019.

Gugatan ini pertama kali diajukan oleh empat pengacara AS pada Januari 2021 untuk melacak lokasi pengguna tanpa persetujuan mereka dan sekarang Google telah membayar penyelesaian untuk gugatan class action lawsuit tersebut

sumber : the cyber security times

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Microsoft Memperbaiki Masalah Konektivitas Windows DirectAccess

by

Microsoft telah menyelesaikan masalah umum yang menyebabkan masalah konektivitas bagi pelanggan Windows yang menggunakan layanan DirectAccess untuk mengakses organisasi mereka dari jarak jauh tanpa menggunakan jaringan pribadi virtual (VPN).

Skenario yang dapat menyebabkan masalah umum ini termasuk beralih antara titik akses atau jaringan Wi-Fi dan kehilangan konektivitas jaringan untuk sementara.

Masalah ini seharusnya tidak memengaruhi solusi akses jarak jauh lainnya seperti VPN (terkadang disebut Server Akses Jarak Jauh atau RAS) dan VPN Selalu Aktif (AOVPN), metode koneksi jarak jauh yang direkomendasikan untuk Windows 10 atau lebih baru.

Daftar platform yang terpengaruh mencakup rilis Windows klien dan server:

  • Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
  • ​Server: Windows Server 2022; Windows Server 2019

Diperbaiki melalui Rollback Masalah yang Diketahui
Microsoft telah mengatasi masalah ini melalui Known Issue Rollback (KIR), kemampuan Windows yang memungkinkan mengembalikan perbaikan non-keamanan Windows yang bermasalah yang diluncurkan menggunakan Pembaruan Windows

Prosedur yang diperlukan untuk menyebarkan perbaikan KIR melalui Kebijakan Grup mengharuskan membuka Editor Kebijakan Grup dan menavigasi ke Kebijakan Komputer Lokal atau kebijakan Domain pada pengontrol domain Anda untuk memilih versi Windows yang ingin Anda targetkan.

sumber : bleeping computer

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

by

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register